Эксперты JFrog предупредили, что злоумышленники атакуют разработчиков .NET через пакеты из репозитория NuGet и заражают их системы малварью, ворующей криптовалюту. Атакующие маскируют свои пакеты (три из них которых были загружены более 150 000 раз за месяц) под реально существующие популярные инструменты, используя тайпсквоттинг.
Исследователи отмечают, что большое количество загрузок может указывать на большое количество разработчиков, чьи системы были скомпрометированы, однако также нельзя исключать версию, что хакеры специально использовали ботов для искусственной накрутки «популярности» своих пакетов в NuGet.
Также отмечается, что злоумышленники использовали тайпсквоттинг при создании своих профилей в NuGet, и старались походить на разработчиков Microsoft. Список использованных хакерами пакетов можно увидеть ниже.
| Имя пакета | Владелец | Загрузки | Опубликован | Настоящий пакет |
| Coinbase.Core | BinanceOfficial | 121 900 | 2023-02-22 | Coinbase |
| Anarchy.Wrapper.Net | OfficialDevelopmentTeam | 30 400 | 2023-02-21 | Anarchy-Wrapper |
| DiscordRichPresence.API | OfficialDevelopmentTeam | 14 100 | 2023-02-21 | DiscordRichPresence |
| Avalon-Net-Core | joeIverhagen | 1200 | 2023-01-03 | AvalonEdit |
| Manage.Carasel.Net | OfficialDevelopmentTeam | 559 | 2023-02-21 | N/A |
| Asip.Net.Core | BinanceOfficial | 246 | 2023-02-22 | Microsoft.AspNetCore |
| Sys.Forms.26 | joeIverhagen | 205 | 2023-01-03 | System.Windows.Forms |
| Azetap.API | DevNuget | 153 | 2023-02-27 | N/A |
| AvalonNetCore | RahulMohammad | 67 | 2023-01-04 | AvalonEdit |
| Json.Manager.Core | BestDeveIopers | 46 | 2023-03-12 | Стандартное .NET имя |
| Managed.Windows.Core | MahamadRohu | 37 | 2023-01-05 | Стандартное .NET имя |
| Nexzor.Graphical.Designer.Core | Impala | 36 | 2023-03-12 | N/A |
| Azeta.API | Soubata | 28 | 2023-02-24 | N/A |
Вредоносные пакеты предназначались для загрузки и выполнения скрипта-дроппера на основе PowerShell (init.ps1), который настраивал зараженную машину на выполнение PowerShell без ограничений. На следующем этот этапе атаки скрипт загружал и запускал полезную нагрузку — исполняемый файл Windows, описанный исследователями как «полностью кастомный исполняемый пейлоад».
Эксперты говорят, что это весьма необычный подход, если сравнивать с другими злоумышленниками, которые чаше всего использую опенсорсные инструменты и стандартные вредоносные программы вместо того, чтобы создавать свои собственные полезные нагрузки.
Малварь, развернутая в итоге на скомпрометированных машинах, могла использоваться для кражи криптовалюты (путем эксфильтрации данных криптовалютных кошельков жертв через веб-хуки Discord), извлечения и выполнения вредоносного кода из архивов Electron, а также автоматического обновления с управляющего сервера.
«Некоторые пакеты не содержали явной вредоносной полезной нагрузки. Вместо этого они отмечали другие вредоносные пакеты как зависимости, а те уже содержали вредоносный скрипт», — говорят аналитики.
